Nội dung được dịch bởi AI, chỉ mang tính chất tham khảo

Một cái nhìn tổng hợp về những thách thức về con người, tổ chức và công nghệ trong quản lý an ninh công nghệ thông tin

Emerald - Tập 17 Số 1 - Trang 4-19 - 2009

Rodrigo Werlinger¹, Kirstie Hawkey¹, Konstantin Beznosov¹

¹Electrical and Computer Engineering, University of British Columbia, Vancouver, Canada

Tóm tắt

Mục đíchMục tiêu của nghiên cứu này là xác định những thách thức chính mà các chuyên gia an ninh công nghệ thông tin (CNTT) phải đối mặt trong tổ chức của họ, bao gồm sự tác động lẫn nhau giữa các yếu tố con người, tổ chức và công nghệ.Thiết kế/phương pháp/tiếp cậnTập dữ liệu bao gồm 36 cuộc phỏng vấn bán cấu trúc với các chuyên gia an ninh CNTT từ 17 tổ chức (đại học, chính phủ và tư nhân). Các cuộc phỏng vấn đã được phân tích bằng mô tả định tính, với sự so sánh liên tục và phân tích quy nạp dữ liệu để xác định các thách thức mà các chuyên gia an ninh phải đối mặt.Kết quảTổng cộng có 18 thách thức có thể ảnh hưởng đến quản lý an ninh CNTT trong các tổ chức được xác định và mô tả. Phân tích này dựa trên công việc liên quan để xây dựng một khuôn khổ tích hợp về các thách thức an ninh. Khuôn khổ này minh họa sự tác động lẫn nhau giữa các yếu tố con người, tổ chức và công nghệ.Ý nghĩa thực tiễnKhuôn khổ này có thể giúp các tổ chức xác định các thách thức tiềm năng khi triển khai các tiêu chuẩn an ninh, và xác định liệu họ có đang sử dụng hiệu quả các nguồn lực an ninh để giải quyết các thách thức hay không. Nó cũng cung cấp một cách để hiểu sự tác động lẫn nhau của các yếu tố khác nhau, ví dụ, cách văn hóa tổ chức và sự phân quyền của an ninh CNTT kích hoạt các vấn đề an ninh làm cho việc quản lý an ninh trở nên khó khăn hơn. Nhiều cơ hội cho các nhà nghiên cứu và nhà phát triển để cải thiện công nghệ và quy trình được sử dụng để hỗ trợ việc áp dụng các chính sách và tiêu chuẩn an ninh trong tổ chức được cung cấp.

Từ khóa

Tài liệu tham khảo

Audestad, J. (2005), “Four reasons why 100% security cannot be achieved”, Telektronikk, Vol. 1, pp. 38‐47. Beyer, H. and Holtzblatt, K. (1998), Contextual Design, Defining Customer‐Centered Systems, Morgan Kaufmann Publishers, San Francisco, CA. Beznosov, K. and Beznosova, O. (2007), “On the imbalance of the security problem space and its expected consequences”, Information Management & Computer Security, Vol. 15 No. 5, pp. 420‐431(12). Botta, D., Werlinger, R., Gagné, A., Beznosov, K., Iverson, L., Fels, S. and Fisher, B. (2007), “Towards understanding IT security professionals and their tools”, Proceedings of the Symposium on Usable Privacy and Security (SOUPS), ACM, Pittsburgh, PA, pp. 100‐11. Chang, S.E. and Ho, C.B. (2006), “Organizational factors to the effectiveness of implementing information security management”, Industrial Management & Data Systems, Vol. 106, pp. 345‐61. Charmaz, K. (2006), Constructing Grounded Theory, Sage, Newbury Park, CA. Flechais, I. and Sasse, M.A. (2007), “Stakeholder involvement, motivation, responsibility, communication: how to design usable security in e‐science”, International Journal of Human‐Computer Studies. Garigue, R. and Stefaniu, M. (2003), “Information security governance reporting”, EDPACS, Vol. 31 No. 6, pp. 11‐17. Gonzalez, J.J., Qian, Y., Sveen, F.O. and Rich, E. (2005), “Helping prevent information security risks in the transition to integrated operations”, Telektronikk, Vol. 1, pp. 29‐37. Hawkey, K., Botta, D., Werlinger, R., Muldner, K., Gagne, A. and Beznosov, K. (2008), “Human organizational, and technological factors of IT security”, CHI'08 Extended Abstract on Human Factors in Computing Systems, Florence, pp. 3639‐44. Jiwnani, K. and Zelkowitz, M. (2002), “Maintaining software with a security perspective”, Proceedings of the International Conference on Software Maintenance, pp. 194‐203. Kankanhalli, A., Teo, H‐H., Tan, B.C. and Wei, K‐K. (2003), “An integrative study of information systems security effectiveness”, International Journal of Information Management, p. 23. Karyda, M., Mitrou, E. and Quirchmayr, G. (2006), “A framework for outsourcing IS/IT security services”, Information Management & Computer Security, Vol. 14, pp. 403‐16. Knapp, K.J., Marshall, T.E., Rainer, R.K. and Ford, F.N. (2006), “Information security: management's effect on culture and policy”, Information Management & Computer Security, Vol. 14 No. 1, pp. 24‐36. Koskosas, I.V. and Paul, R.J. (2004), “The interrelationship and effect of culture and risk communication in setting internet banking security goals”, Proceedings of the 6th International Conference on Electronic Commerce, ACM Press, New York, NY, pp. 341‐50. Kotulic, A.G. and Clark, J.G. (2004), “Why there aren't more information security research studies”, Information & Management, Vol. 41 No. 5, pp. 597‐607. Kraemer, S. and Carayon, P. (2007), “Human errors and violations in computer and information security: the viewpoint of network administrators and security specialists”, Applied Ergonomics, Vol. 38, pp. 143‐54. Pattinson, M.R. and Anderson, G. (2007), “How well are information risks being communicated to your computer end‐users?”, Information Management & Computer Security, Vol. 15 No. 5, pp. 362‐71. Rayford, B., Vaughn, R.H. Jr and Fox, K. (2001), “An empirical study of industrial security‐engineering practices”, The Journal of Systems and Software, Vol. 61, pp. 225‐32. Sandelowski, M. (2000), “Whatever happened to qualitative description?”, Research in Nursing & Health, Vol. 23 No. 4, pp. 334‐40. Straub, D.W. and Welke, R.J. (1998), “Coping with systems risk: security planning models for management decision making”, MIS Q, Vol. 22 No. 4, pp. 441‐69. Sveen, F.O., Sarriegi, J., Rich, E. and Gonzalez, J. (2007), “Toward viable information security reporting systems”, HAISA'07: Human Aspects of Information Security and Assurance, pp. 114‐27. Thomson, K. and von Solms, R. (2005), “Information security obedience: a definition”, Computers and Security, Vol. 24 No. 1, pp. 69‐75. Tsohou, A., Karyda, M. and Kokolakis, S. (2006), “Formulating information systems risk management strategies through cultural theory”, Information Management & Computer Security, Vol. 14 No. 3, pp. 198‐217. Welch, D. and Lathrop, S. (2003), “Wireless security threat taxonomy”, paper presented at: Information Assurance Workshop, IEEE Systems, Man and Cybernetics Society, pp. 76‐83. Werlinger, R., Hawkey, K. and Beznosov, K. (2008a), “Human, organizational and technological challenges of implementing IT security in organizations”, HAISA'08: Human Aspects of Information Security and Assurance, Plymouth, England, pp. 35‐48. Werlinger, R., Hawkey, K. and Beznosov, K. (2008b), “Security practitioners in context: their activities and interactions”, CHI'08 Extended Abstracts on Human Factors in Computing Systems, Florence, pp. 3789‐94. Werlinger, R., Hawkey, K., Muldner, K., Jaferian, P. and Beznosov, K. (2008c), “The challenges of using an intrusion detection system: is it worth the effort?”, Proceedings of the Symposium On Usable Privacy and Security (SOUPS), Pittsburgh, Pennsylvania, pp. 107‐16.

Scholar Hub - Công cụ hỗ trợ trích dẫn và phân tích khoa học Việt Nam

Về chúng tôi

Scholar Hub là công cụ hỗ trợ trích dẫn và phân tích các bài báo, công bố khoa học Việt Nam. Công cụ trợ giúp người nghiên cứu, tạp chí, đơn vị nghiên cứu tra cứu, phân tích và thống kê dữ liệu nghiên cứu khoa học tại Việt Nam và quốc tế.
ScholarHub KHÔNG đăng thông tin tổng hợp, KHÔNG đăng lại nội dung từ các trang báo chí Việt Nam hoặc trang thông tin điện tử khác tại Việt Nam.

Thông tin, cập nhật

Đăng ký Tạp chí tham gia vào Scholar Hub

Phản hồi ý kiến về Scholar Hub

Bài viết, nội dung cập nhật

Chủ đề khoa học

Website liên kết

Hệ thống CSDL Khoa học & Công nghệ

Phần mềm kiểm tra trùng lặp Kiểm Tra Tài Liệu

Phần mềm xuất bản tạp chí điện tử VOJS

Nền tảng trắc nghiệm và đề thi đa lĩnh vực LetQA